CN112153038B - 一种安全登录的方法、装置、验证终端及可读存储介质 - Google Patents
一种安全登录的方法、装置、验证终端及可读存储介质 Download PDFInfo
- Publication number
- CN112153038B CN112153038B CN202010989255.0A CN202010989255A CN112153038B CN 112153038 B CN112153038 B CN 112153038B CN 202010989255 A CN202010989255 A CN 202010989255A CN 112153038 B CN112153038 B CN 112153038B
- Authority
- CN
- China
- Prior art keywords
- random number
- terminal
- request
- requester
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000012795 verification Methods 0.000 claims abstract description 43
- 230000004048 modification Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 23
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种安全登录的方法,包括:验证终端接收请求终端发送的登录请求;生成第一随机数,并利用请求终端的请求方公钥加密第一随机数;将加密得到的第一加密数据包发送至请求终端,以使请求终端将解密得到的第二随机数返回至验证终端;接收第二随机数,并判断第二随机数与第一随机数是否一致;若不一致,则拒绝执行登录请求。本申请所提供的技术方案,通过基于第一可信根生成请求终端的身份密钥对,使得在远程管理过程中用于验证的身份密钥对无法被篡改,极大的增强了核心数据的安全性及有效性,降低了远程管理过程中信息泄露的风险。本申请同时还提供了一种安全登录的装置、验证终端及可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及安全登录领域,特别涉及一种安全登录的方法、装置、验证终端及可读存储介质。
背景技术
随着计算机的普及和网络技术的迅猛发展,为日常办公和移动办公提供了更多便利。然而,信息技术的便捷与安全总是一对孪生的矛盾,使用者常常会陷入取舍的困惑中。无论是内部非法用户的危害还是互联网信息窃取的危害都可能造成难以估量的国家秘密和商业秘密的损失。
现有技术中通常利用远程安全登录协议(Secure Shell,SSH)来防止远程管理过程中出现信息泄露问题,SSH协议为建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议,然而,SSH核心数据易被篡改,导致远程管理过程存在一定的信息泄露风险。
因此,如何降低远程管理过程中信息泄露的风险是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种安全登录的方法、装置、验证终端及可读存储介质,用于降低远程管理过程中信息泄露的风险。
为解决上述技术问题,本申请提供一种安全登录的方法,该方法包括:
验证终端接收请求终端发送的登录请求;
生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数,所述请求方公钥为所述请求终端基于第一可信根生成的身份密钥对中的公钥;
将加密得到的第一加密数据包发送至所述请求终端,以使所述请求终端利用请求方私钥对所述第一加密数据包进行解密得到第二随机数,并将所述第二随机数返回至所述验证终端,所述请求方私钥为所述请求终端基于所述第一可信根生成的身份密钥对中的私钥;
接收所述第二随机数,并判断所述第二随机数与所述第一随机数是否一致;
若不一致,则拒绝执行所述登录请求。
可选的,在判断所述第二随机数与所述第一随机数是否一致之前,还包括:
接收所述请求终端发送的可信报告,所述可信报告为所述请求终端基于所述请求方私钥和平台状态寄存器数据生成;
当所述第二随机数与所述第一随机数一致时,还包括:
利用所述请求方公钥对所述可信报告的签名信息进行验证;
若验证通过,则判断所述可信报告的明文与所述平台状态寄存器数据是否一致;
若一致,则执行所述登录请求;
若不一致,则拒绝执行所述登录请求。
可选的,在验证终端接收请求终端发送的登录请求之后,在生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数之前,还包括:
判断所述验证终端的第二可信根中是否存在所述请求终端的请求方公钥;
若是,则执行所述生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数的步骤;
若否,则拒绝执行所述登录请求。
可选的,该方法还包括:
首次接收所述请求终端发送的所述请求方公钥,并将所述请求方公钥导入至所述第二可信根中。
可选的,该方法还包括:
接收所述请求终端发送的修改请求;
执行所述修改请求对第二可信根中的请求方公钥进行修改。
本申请还提供一种安全登录的装置,该装置包括:
第一接收模块,用于验证终端接收请求终端发送的登录请求;
生成模块,用于生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数,所述请求方公钥为所述请求终端基于第一可信根生成的身份密钥对中的公钥;
第一发送模块,用于将加密得到的第一加密数据包发送至所述请求终端,以使所述请求终端利用请求方私钥对所述第一加密数据包进行解密得到第二随机数,并将所述第二随机数返回至所述验证终端,所述请求方私钥为所述请求终端基于所述第一可信根生成的身份密钥对中的私钥;
第二接收模块,用于接收所述第二随机数,并判断所述第二随机数与所述第一随机数是否一致;
第一拒绝模块,用于当所述第二随机数与所述第一随机数不一致时,拒绝执行所述登录请求。
可选的,该装置还包括:
第三接收模块,用于在判断所述第二随机数与所述第一随机数是否一致之前,接收所述请求终端发送的可信报告,所述可信报告为所述请求终端基于所述请求方私钥和平台状态寄存器数据生成;
验证模块,用于当所述第二随机数与所述第一随机数一致时,利用所述请求方公钥对所述可信报告的签名信息进行验证;
第一判断模块,用于若验证通过,则判断所述可信报告的明文与所述平台状态寄存器数据是否一致;
执行模块,用于当所述可信报告的明文与所述平台状态寄存器数据一致时,执行所述登录请求;
第二拒绝模块,用于当所述可信报告的明文与所述平台状态寄存器数据不一致时,拒绝执行所述登录请求。
可选的,该装置还包括:
第二判断模块,用于判断所述验证终端的第二可信根中是否存在所述请求终端的请求方公钥;
返回执行模块,用于当所述验证终端的第二可信根中存在所述请求终端的请求方公钥时,执行所述生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数的步骤;
第三拒绝模块,用于当所述验证终端的第二可信根中不存在所述请求终端的请求方公钥时,拒绝执行所述登录请求。
本申请还提供一种验证终端,该验证终端包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述任一项所述安全登录的方法的步骤。
本申请还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述安全登录的方法的步骤。
本申请所提供安全登录的方法,包括:验证终端接收请求终端发送的登录请求;生成第一随机数,并利用请求终端的请求方公钥加密第一随机数,请求方公钥为请求终端基于第一可信根生成的身份密钥对中的公钥;将加密得到的第一加密数据包发送至请求终端,以使请求终端利用请求方私钥对第一加密数据包进行解密得到第二随机数,并将第二随机数返回至验证终端,请求方私钥为请求终端基于第一可信根生成的身份密钥对中的私钥;接收第二随机数,并判断第二随机数与第一随机数是否一致;若不一致,则拒绝执行登录请求。
本申请所提供的技术方案,通过基于第一可信根生成请求终端的身份密钥对,使得在远程管理过程中用于验证的身份密钥对无法被篡改,极大的增强了核心数据的安全性及有效性,降低了远程管理过程中信息泄露的风险。本申请同时还提供了一种安全登录的装置、验证终端及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种安全登录的方法的流程图;
图2为本申请实施例所提供的另一种安全登录的方法的流程图;
图3为本申请实施例所提供的一种安全登录的装置的结构图;
图4为本申请实施例所提供的一种验证终端的结构图。
具体实施方式
本申请的核心是提供一种安全登录的方法、装置、验证终端及可读存储介质,用于降低远程管理过程中信息泄露的风险。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种安全登录的方法的流程图。
其具体包括如下步骤:
S101:验证终端接收请求终端发送的登录请求;
现有技术中通常利用SSH协议来防止远程管理过程中出现信息泄露问题,SSH协议为建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议,然而,SSH协议在认证过程中使用的密钥对(identity_key)存放于磁盘中,使得其易被损坏盗取,导致远程管理过程存在一定的信息泄露风险;故本申请提供了一种安全登录的方法,用于解决上述问题。
可选的,在执行步骤S101之后,在执行步骤S102之前,还可以执行如下步骤:
判断验证终端的第二可信根中是否存在请求终端的请求方公钥;
若是,则执行步骤S102生成第一随机数,并利用请求终端的请求方公钥加密第一随机数的步骤;
若否,则拒绝执行登录请求。
进一步的,在此基础上,还可以在请求终端生成身份密钥对时,通过安全途径拷贝请求方公钥到验证方平台并导入到验证方平台的第二可信根,进而通过判断第二可信根中是否存在请求终端的请求方公钥来确定该请求终端是否注册过,即还可以执行如下步骤:
首次接收请求终端发送的请求方公钥,并将请求方公钥导入至第二可信根中。
可选的,当需要对第二可信根中的请求方公钥进行修改时,还可以执行如下步骤:
接收请求终端发送的修改请求;
执行修改请求对第二可信根中的请求方公钥进行修改。
在一个具体实施例中,请求终端可以基于第一可信根生成身份密钥对,该身份密钥对存储于第一可信根中,只有拥有相应口令的用户才可以更改,以降低密钥泄露风险。
S102:生成第一随机数,并利用请求终端的请求方公钥加密第一随机数;
在本步骤中,利用请求终端的请求方公钥加密第一随机数的目的在于,对本次会话进行加密,只有请求终端解密得到该第一随机数之后,才能进行此次会话,进一步的提高了止远程管理过程的安全性。
这里提到的请求方公钥为请求终端基于第一可信根生成的身份密钥对中的公钥。
S103:将加密得到的第一加密数据包发送至请求终端,以使请求终端利用请求方私钥对第一加密数据包进行解密得到第二随机数,并将第二随机数返回至验证终端;
这里提到的请求方私钥为请求终端基于第一可信根生成的身份密钥对中的私钥。
S104:接收第二随机数,并判断第二随机数与第一随机数是否一致;
若否,则进入步骤S105;
当第二随机数与第一随机数不一致时,则表明请求终端发起的会话与验证终端接收到的会话不为同一个会话,此时进入步骤S105拒绝执行该登录请求;
可选的,在一个具体实施例中,当第二随机数与第一随机数一致时,则表明请求终端发起的会话与验证终端接收到的会话为同一个会话,此时还可以执行该登录请求。
S105:拒绝执行登录请求。
基于上述技术方案,本申请所提供的一种安全登录的方法,通过基于第一可信根生成请求终端的身份密钥对,使得在远程管理过程中用于验证的身份密钥对无法被篡改,极大的增强了核心数据的安全性及有效性,降低了远程管理过程中信息泄露的风险。
本申请实施例还公开了另一种设备控制的方法,相对于前几个实施例,本实施例对技术方案作了进一步的说明和优化,具体可以通过执行图2所示的步骤实现,下面结合图2进行说明。
请参考图2,图2为本申请实施例所提供的另一种安全登录的方法的流程图。
其具体包括以下步骤:
S201:验证终端接收请求终端发送的登录请求;
S202:生成第一随机数,并利用请求终端的请求方公钥加密第一随机数;
S203:将加密得到的第一加密数据包发送至请求终端,以使请求终端利用请求方私钥对第一加密数据包进行解密得到第二随机数,并将第二随机数返回至验证终端;
S204:接收请求终端发送的可信报告;
这里提到的可信报告为请求终端基于请求方私钥和平台状态寄存器数据生成,该平台状态寄存器数据用于表征请求终端的完整性。
S205:接收第二随机数,并判断第二随机数与第一随机数是否一致;
若是,则进入步骤S206;若否,则进入步骤S209。
S206:利用请求方公钥对可信报告的签名信息进行验证;
若验证通过,则进入步骤S207;若验证不通过,则进入步骤S209。
S207:判断可信报告的明文与平台状态寄存器数据是否一致;
若一致,则进入步骤S208;若不一致,则进入步骤S209。
S208:执行登录请求;
S209:拒绝执行登录请求。
请参考图3,图3为本申请实施例所提供的一种安全登录的装置的结构图。
该装置可以包括:
第一接收模块100,用于验证终端接收请求终端发送的登录请求;
生成模块200,用于生成第一随机数,并利用请求终端的请求方公钥加密第一随机数,请求方公钥为请求终端基于第一可信根生成的身份密钥对中的公钥;
第一发送模块300,用于将加密得到的第一加密数据包发送至请求终端,以使请求终端利用请求方私钥对第一加密数据包进行解密得到第二随机数,并将第二随机数返回至验证终端,请求方私钥为请求终端基于第一可信根生成的身份密钥对中的私钥;
第二接收模块400,用于接收第二随机数,并判断第二随机数与第一随机数是否一致;
第一拒绝模块500,用于当第二随机数与第一随机数不一致时,拒绝执行登录请求。
在上述实施例的基础上,在一个具体实施例中,该装置还可以包括:
第三接收模块,用于在判断第二随机数与第一随机数是否一致之前,接收请求终端发送的可信报告,可信报告为请求终端基于请求方私钥和平台状态寄存器数据生成;
验证模块,用于当第二随机数与第一随机数一致时,利用请求方公钥对可信报告的签名信息进行验证;
第一判断模块,用于若验证通过,则判断可信报告的明文与平台状态寄存器数据是否一致;
执行模块,用于当可信报告的明文与平台状态寄存器数据一致时,执行登录请求;
第二拒绝模块,用于当可信报告的明文与平台状态寄存器数据不一致时,拒绝执行登录请求。
在上述实施例的基础上,在一个具体实施例中,该装置还可以包括:
第二判断模块,用于判断验证终端的第二可信根中是否存在请求终端的请求方公钥;
返回执行模块,用于当验证终端的第二可信根中存在请求终端的请求方公钥时,执行生成第一随机数,并利用请求终端的请求方公钥加密第一随机数的步骤;
第三拒绝模块,用于当验证终端的第二可信根中不存在请求终端的请求方公钥时,拒绝执行登录请求。
在上述实施例的基础上,在一个具体实施例中,该装置还可以包括:
第四接收模块,用于首次接收请求终端发送的请求方公钥,并将请求方公钥导入至第二可信根中。
在上述实施例的基础上,在一个具体实施例中,该装置还可以包括:
第五接收模块,用于接收请求终端发送的修改请求;
执行模块,用于执行修改请求对第二可信根中的请求方公钥进行修改。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
请参考图4,图4为本申请实施例所提供的一种验证终端的结构图。
该验证终端600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)622(例如,一个或一个以上处理器)和存储器632,一个或一个以上存储应用程序642或数据644的存储介质630(例如一个或一个以上海量存储设备)。其中,存储器632和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对装置中的一系列指令操作。更进一步地,处理器622可以设置为与存储介质630通信,在验证终端600上执行存储介质630中的一系列指令操作。
验证终端600还可以包括一个或一个以上电源626,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口658,和/或,一个或一个以上操作系统641,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述图1至图2所描述的安全登录的方法中的步骤由验证终端基于该图4所示的结构实现。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,功能调用装置,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的一种安全登录的方法、装置、验证终端及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种安全登录的方法,其特征在于,包括:
验证终端接收请求终端发送的登录请求;
生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数,所述请求方公钥为所述请求终端基于第一可信根生成的身份密钥对中的公钥;
将加密得到的第一加密数据包发送至所述请求终端,以使所述请求终端利用请求方私钥对所述第一加密数据包进行解密得到第二随机数,并将所述第二随机数返回至所述验证终端,所述请求方私钥为所述请求终端基于所述第一可信根生成的身份密钥对中的私钥;
接收所述第二随机数,并判断所述第二随机数与所述第一随机数是否一致;
若不一致,则拒绝执行所述登录请求;
在判断所述第二随机数与所述第一随机数是否一致之前,还包括:
接收所述请求终端发送的可信报告,所述可信报告为所述请求终端基于所述请求方私钥和平台状态寄存器数据生成;
当所述第二随机数与所述第一随机数一致时,还包括:
利用所述请求方公钥对所述可信报告的签名信息进行验证;
若验证通过,则判断所述可信报告的明文与所述平台状态寄存器数据是否一致;
若一致,则执行所述登录请求;
若不一致,则拒绝执行所述登录请求。
2.根据权利要求1所述的方法,其特征在于,在验证终端接收请求终端发送的登录请求之后,在生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数之前,还包括:
判断所述验证终端的第二可信根中是否存在所述请求终端的请求方公钥;
若是,则执行所述生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数的步骤;
若否,则拒绝执行所述登录请求。
3.根据权利要求2所述的方法,其特征在于,还包括:
首次接收所述请求终端发送的所述请求方公钥,并将所述请求方公钥导入至所述第二可信根中。
4.根据权利要求2所述的方法,其特征在于,还包括:
接收所述请求终端发送的修改请求;
执行所述修改请求对第二可信根中的请求方公钥进行修改。
5.一种安全登录的装置,其特征在于,包括:
第一接收模块,用于验证终端接收请求终端发送的登录请求;
生成模块,用于生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数,所述请求方公钥为所述请求终端基于第一可信根生成的身份密钥对中的公钥;
第一发送模块,用于将加密得到的第一加密数据包发送至所述请求终端,以使所述请求终端利用请求方私钥对所述第一加密数据包进行解密得到第二随机数,并将所述第二随机数返回至所述验证终端,所述请求方私钥为所述请求终端基于所述第一可信根生成的身份密钥对中的私钥;
第二接收模块,用于接收所述第二随机数,并判断所述第二随机数与所述第一随机数是否一致;
第一拒绝模块,用于当所述第二随机数与所述第一随机数不一致时,拒绝执行所述登录请求;
还包括:
第三接收模块,用于在判断所述第二随机数与所述第一随机数是否一致之前,接收所述请求终端发送的可信报告,所述可信报告为所述请求终端基于所述请求方私钥和平台状态寄存器数据生成;
验证模块,用于当所述第二随机数与所述第一随机数一致时,利用所述请求方公钥对所述可信报告的签名信息进行验证;
第一判断模块,用于若验证通过,则判断所述可信报告的明文与所述平台状态寄存器数据是否一致;
执行模块,用于当所述可信报告的明文与所述平台状态寄存器数据一致时,执行所述登录请求;
第二拒绝模块,用于当所述可信报告的明文与所述平台状态寄存器数据不一致时,拒绝执行所述登录请求。
6.根据权利要求5所述的装置,其特征在于,还包括:
第二判断模块,用于判断所述验证终端的第二可信根中是否存在所述请求终端的请求方公钥;
返回执行模块,用于当所述验证终端的第二可信根中存在所述请求终端的请求方公钥时,执行所述生成第一随机数,并利用所述请求终端的请求方公钥加密所述第一随机数的步骤;
第三拒绝模块,用于当所述验证终端的第二可信根中不存在所述请求终端的请求方公钥时,拒绝执行所述登录请求。
7.一种验证终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述安全登录的方法的步骤。
8.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述安全登录的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010989255.0A CN112153038B (zh) | 2020-09-18 | 2020-09-18 | 一种安全登录的方法、装置、验证终端及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010989255.0A CN112153038B (zh) | 2020-09-18 | 2020-09-18 | 一种安全登录的方法、装置、验证终端及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112153038A CN112153038A (zh) | 2020-12-29 |
| CN112153038B true CN112153038B (zh) | 2022-06-07 |
Family
ID=73893215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010989255.0A Active CN112153038B (zh) | 2020-09-18 | 2020-09-18 | 一种安全登录的方法、装置、验证终端及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112153038B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132395B (zh) * | 2021-04-22 | 2022-11-11 | 支付宝(杭州)信息技术有限公司 | 一种远程设备控制方法和系统 |
| CN114070571B (zh) * | 2021-11-17 | 2024-01-12 | 湖南麒麟信安科技股份有限公司 | 一种建立连接的方法、装置、终端及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523800A (zh) * | 2006-10-10 | 2009-09-02 | 高通股份有限公司 | 用于双向认证的方法和装置 |
| CN102595213A (zh) * | 2012-02-22 | 2012-07-18 | 深圳创维-Rgb电子有限公司 | 可信电视终端安全认证方法和系统 |
| CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
| CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
| US10263787B1 (en) * | 2018-11-12 | 2019-04-16 | Cyberark Software Ltd. | Scalable authentication for decentralized applications |
| CN109639427A (zh) * | 2017-10-09 | 2019-04-16 | 华为技术有限公司 | 一种数据发送的方法及设备 |
| CN111193743A (zh) * | 2019-12-31 | 2020-05-22 | 浪潮电子信息产业股份有限公司 | 一种存储系统的身份认证方法、系统及相关装置 |
-
2020
- 2020-09-18 CN CN202010989255.0A patent/CN112153038B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523800A (zh) * | 2006-10-10 | 2009-09-02 | 高通股份有限公司 | 用于双向认证的方法和装置 |
| CN102595213A (zh) * | 2012-02-22 | 2012-07-18 | 深圳创维-Rgb电子有限公司 | 可信电视终端安全认证方法和系统 |
| CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
| CN109639427A (zh) * | 2017-10-09 | 2019-04-16 | 华为技术有限公司 | 一种数据发送的方法及设备 |
| US10263787B1 (en) * | 2018-11-12 | 2019-04-16 | Cyberark Software Ltd. | Scalable authentication for decentralized applications |
| CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
| CN111193743A (zh) * | 2019-12-31 | 2020-05-22 | 浪潮电子信息产业股份有限公司 | 一种存储系统的身份认证方法、系统及相关装置 |
Non-Patent Citations (2)
| Title |
|---|
| ssh公钥登录;博客园,jamin;《https://www.cnblogs.com/jamin/archive/2011/03/03/1969625.html》;20110303;正文 * |
| 智能电网环境下一种基于SDKey的智能移动终端远程证明方案;王晋等;《信息网络安全》;20180710(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112153038A (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Arora et al. | Cloud security ecosystem for data security and privacy | |
| CN109587101B (zh) | 一种数字证书管理方法、装置及存储介质 | |
| WO2021184755A1 (zh) | 应用访问方法、装置、电子设备以及存储介质 | |
| US20160125180A1 (en) | Near Field Communication Authentication Mechanism | |
| WO2019085531A1 (zh) | 一种终端联网认证的方法和装置 | |
| WO2014159180A1 (en) | Secure cloud storage and encryption management system | |
| CN112187466B (zh) | 一种身份管理方法、装置、设备及存储介质 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN112153038B (zh) | 一种安全登录的方法、装置、验证终端及可读存储介质 | |
| CN106992978B (zh) | 网络安全管理方法及服务器 | |
| KR102329221B1 (ko) | 블록체인 기반 사용자 인증 방법 | |
| US10635826B2 (en) | System and method for securing data in a storage medium | |
| CN113434882A (zh) | 应用程序的通讯保护方法、装置、计算机设备及存储介质 | |
| US20230362018A1 (en) | System and Method for Secure Internet Communications | |
| US8832432B2 (en) | System and method for validating SCEP certificate enrollment requests | |
| CN111901312A (zh) | 一种网络访问控制的方法、系统、设备及可读存储介质 | |
| CN115459929B (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| Chen et al. | A secure mobile DRM system based on cloud architecture | |
| CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN113810178B (zh) | 密钥管理方法、装置、系统及存储介质 | |
| Darwish et al. | Privacy and security of cloud computing: a comprehensive review of techniques and challenges | |
| CN113315749B (zh) | 用户数据上链、用户数据使用方法、匿名系统和存储介质 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| CN114785566B (zh) | 数据处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |